Кому потрібні наші персональні дані?

Реєструючись на новому сайті, завантажуючи додаток у смартфон чи заповнюючи чергову згоду на обробку персональних даних, ми навіть не замислюємося над тим, що не просто добровільно надаємо особисті дані, а й допомагаємо достатньо непогано на цьому заробити. Персональні дані перетворюються в один з найбільш цінних і запитуваних «товарів».

Але що ми знаємо про цей товар? Кому ми надаємо наші дані? Та скільки вони коштують?

Часто ми віддаємо наші дані в обмін на щось. Наприклад, ви хочете стати учасником дисконтної програми магазину, але для цього вас попросять заповнити анкету. Часто в такій анкеті просять надати певну інформацію:

• прізвище та ім’я,
• дата народження,
• мобільний телефон,
• адреса проживання,
• електронна адреса,
• паспортні дані (серія та номер паспорта).

При цьому ви ставите галочку — що даєте згоду на обробку даних.

Для чого збираються ці дані, куди вони йдуть надалі та як зберігаються — вам невідомо, оскільки ви навіть не поцікавилися політиками конфіденційності чи обробки персональних даних.

Так само, коли ви надаєте свої дані державі чи банку, у вас є право знати:

• як збирають і зберігають ваші персональні дані, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
• отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються ваші персональні дані;
• на доступ до своїх персональних даних;
• отримувати не пізніше, ніж за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються ваші персональні дані, а також отримувати зміст таких персональних даних;
• пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
• пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

• звертатися зі скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини або до суду;
• застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
• вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
• відкликати згоду на обробку персональних даних;
• знати механізм автоматичної обробки персональних даних;
• на захист від автоматизованого рішення, яке має для вас правові наслідки.

Але чомусь ми не користуємося цими правами, бо завжди ставимо питання: а кому потрібні наші дані?

Наприклад, коли ми реєструємось у соціальних мережах, то погоджуємося з політиками конфіденційності та надаємо наші персональні дані соціальній мережі абсолютно безкоштовно.

Проте чи знаєте ви, який відсоток доходу Facebook становить монетизація особистих даних користувачів? 100% доходу. Зауважу, що дохід цієї соціальної мережі у 2019 році становив 70,7 мільярдів доларів США. Сьогодні застосунками компанії Facebook (Facebook Messenger, Instagram, WhatsApp) користується 3 млрд людей. Ця корпорація отримує, зберігає та використовує дані людей з усього світу. Але люди мають розпоряджатися своїми даними як власністю — це їхнє право.

На українському «ринку» з продажу даних із бази, де є 327 мільйонів записів про людей та 4,5 мільярдів логінів та паролів, вартість одного запиту коливається від 1 до 5 доларів.

Скріншот Telegram-каналу UA Baza bot (видалений акаунт)

Тобто всього за $1, знаючи, наприклад, прізвище та ім’я людини, можна дізнатися місце її прописки (реєстрації), дату народження, мобільний телефон, електронну адресу та пароль до неї, ідентифікаційний номер, паспортні та банківські дані.

Чому дані постійно витікають?

Як ви вже зрозуміли, дані — товар з неабияким попитом. А за законами економіки, якщо є попит, то буде і пропозиція.

Розгляньмо приклад з «витоком даних» із державних баз.

Нещодавно соціальні мережі майоріли повідомленнями про те, що у певному чат-боті можна переглянути «досьє» на будь-кого. Багато хто писав, що відбувся злив даних додатку «Дія». На думку Олександра Кардакова, експерта з кібербезпеки, цей застосунок є суто інтерфейсом, тобто єдиним способом доступу. Дані користувачів зберігаються в створених раніше реєстрах і базах. Власних агрегованих даних «Дія» не зберігає.

Андрій Баранович, спікер Українського кіберальянсу, пояснює: «Був цього разу витік саме з “Дії”? А чорт його знає. Можливо, потекло із самих реєстрів шляхом старого-доброго підкупу. Що б там не говорила Мінцифра, в серверної частини “Дії” є прямий доступ до реєстрів, і вже неважливо, зберігається щось на серверах чи ні. Наявність або відсутність у “Дії” бази нічого принципово не змінює».

Дані з реєстрів є у відкритому доступі, продаються в телеграм-каналах та DarkNet.

Наприклад, розробники чат-ботів зазначають, що всі дані отримано з відкритих джерел, та пояснюють от що:

Скріншот з Telegram-каналу UA Baza bot (видалений акаунт)

Чому дані витікають у мережу Інтернет?

В Україні є 350 реєстрів, і понад 200 з них містять персональну інформацію, проте лише чверть реєстрів має відповідний сертифікат захисту.

На мою думку, дані потрапляють у відкритий доступ через такі проблеми:

1. Немає ефективної системи забезпечення захисту даних в органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних. Часто доступ до реєстрів має необмежене коло осіб^[1].
2. Неналежне матеріально-технічне забезпечення осіб, які працюють із базами даних. Це означає, що дані легко перекопіювати на інші носії інформації, держава часто не забезпечує комп’ютерами своїх працівників, ноутбуками з даними користуються не лише на робочих місцях, але й у закладах громадського харчування чи вдома.
3. Низький рівень кваліфікації та низька оплата праці у працівників, які відповідають за кібербезпеку в державних установах, організаціях та підприємствах, органах місцевого самоврядування. Працівників «легко купити», а це означає, що за певну винагороду вони можуть викласти інформацію у відкритий доступ. Також помилково викласти дані у відкритий доступ вони можуть через некомпетентність.
4. Немає культури поваги до права на приватність та захисту персональних даних.
5. В українців часто немає навичок цифрової гігієни.
6. Немає ефективної системи державного контролю за захистом персональних даних.
7. Держава не здійснює аудитів баз даних та інше.

Що робити, якщо побачили свої персональні дані у відкритому доступі?

Ви маєте право звернутися до Кіберполіції (підрозділу Національної поліції України) з відповідною заявою.

Також рекомендую скаржитися на акаунти чи сайти, які незаконно поширюють ваші персональні дані, а також долучатися до їхнього блокування.

Зверніть увагу, що контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:

1) Уповноважений Верховної Ради України з прав людини;

2) суди.

Ця публікація має виключно інформаційний характер. На мою думку, якщо ми з вами проінформовані про те, що відбувається в Україні з нашими даними, то зможемо більше дбати про захист своїх даних та відстоювати право бути власником своїх даних.

Пам’ятайте, що особисті немайнові права на персональні дані, які має кожна фізична особа, є невід’ємними і непорушними.

Анастасія Апетик,
юристка, експертка з інформаційних прав та безпеки
Експертного центру з прав людини
спеціально для JustTalk

^[1] Відповідно до статті 24 Закону України «Про захист персональних даних», володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних. В органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їхній обробці.